【正文】 份認證可 22 以隨時進行，包括在雙方正常通信過程中。如果認證失敗，則直接釋放鏈路。 PAP 認證進程只在雙方的通信鏈路建立初期進行。 PPP 提供了兩種可選的身份認證方法：口令驗證協(xié)議 PAP（ Password Authentication Protocol， PAP）和質詢握手協(xié)議（ Challenge Handshake Authentication Protocol， CHAP）。其中 ， PPP 除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。傳統(tǒng) PSTN 提供的服務也被稱為簡易老式電話業(yè)務（ Plan Old Telephone System， POTS）。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量 較小，所以采用了異步撥號連接作為遠程訪問的技術手段。 遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。如圖所示 遠程訪問設計 和 程訪問模塊設 遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。 應只允許來自服務器群的 IP 地址訪問并配置路由器。 （ 5）保護路由器自身安全 作為內網(wǎng)、外 網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。可以將針對以上協(xié)議綜合進行設計，如圖所示。這是極其危險的，因此必須加以屏蔽。用戶在使用 tel 登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡上的非法協(xié)議分析設備截獲。它有兩種服務類型： SNMP 和 SNMPTRAP。主要應該做以下的ACL 設計： （ 1）對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流 向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。 設 置接入路由器 InterRouter 上的 ACL 路由器是外網(wǎng)進入企業(yè)網(wǎng)內網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。 將除服務器外的內部 IP 隨機轉換為地址池內的 的公有地址。 （ 3）為服務器定義靜態(tài)地址轉換 將服務器的內部 IP 地址改為公有地址。 （ 1）定義 NAT 內部、外部接口 Ip nat inside 定義端口為內部端口； Ip nat outside 定義端口為外部端口。其中一個 IP地址： 被分配給了 Inter 接入路由器的串行接口，另外 8 個 IP 地址： ～ 用作 NAT。為了解決所有工作站訪問 Inter的需要，必須使用 NAT（網(wǎng)絡地址轉換）技術。如圖所示。其中，下一跳指定從本路由器的接口 serial 0/0/0 送出。 配置接入路由器 InterRouter 的路由功能 在接入路由器 InterRouter 上需要定義兩個方向上的路由：到企業(yè)網(wǎng)內部的靜態(tài)路由以及到 Inter 上的缺省路由。 配置接入路由器 InterRouter 的各接口參數(shù) 對接入路由器 InterRouter 的各接口參數(shù)的配置主要是對接口FastEther 0/0 以及接口 Serial 0/0/0 的 IP 地址、子網(wǎng)掩碼的配置。除了完成主要的路由任務外，利用訪問控制列表（ Access Control List， ACL），廣域 網(wǎng)接入路由器 InterRouter 還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能 。它通過 添加 WIC2T 模塊上帶的 串行接口 serial 0/0使用 DDN（ 128K）技術接入 Inter。 廣域網(wǎng)接入模塊設計 在本設計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器 InterRouter來完成的。同時，對于配置核心層交換機CoreSwitch2 下連的一系列交換機，其連接方法以及配置步驟和命令同核心 層交換機 CoreSwitch1 下連的一系列交換機的連接方法以及配置步驟和命令類似。 6． 核心層交換機 CoreSwitch2 的配置 17 核心層交換機 CoreSwitch2 的配置步驟、命令和對核心層交換機CoreSwitch1 的配置類似。這里使用了一條缺省路由命令，如圖所示。因此，需要啟用核心層交換機的路由功能。 下面 是設置核心層交換機 CoreSwitch1 的千兆以太網(wǎng)信道的步驟。 如圖所示，給出了對上述端口的配置命令。 16 完整命令為： vtp mode client 4． 配置核心層交換機 CoreSwitch1 的端口參數(shù) 核心層交換機 CoreSwitch1 通過自己的端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。 3． 配置核心層交換機 CoreSwitch1 的的 VLAN 及 VTP 在本實例中，核心層交換機 CoreSwitch1 也將作為 VTP 客戶機。 2． 配置核心層交換機 CoreSwitch1 的管理 IP、默認網(wǎng)關 如圖所示，顯示了為核心層交換機 CoreSwitch1 設置管理 IP 并激活本征VLAN。 核心層交換服務的實現(xiàn)－配置核心層交換機 1． 配置核心層交換機 CoreSwitch1 的基本參數(shù) 對核心層交換機 CoreSwitch1 的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1 的基本參數(shù)的配置類似。 15 此外，分布層交換機 DistributeSwitch2 還通 過自己的千兆端口GigabitEther1/1 上連到核心交換機 CoreSwitch2 的 GigabitEther 0/1。這里使用了一條缺省路由命令， 其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0 的 IP 地址。這需要首先啟用分布層交換機的路由功能。 設置分布層交 換機 DistributeSwitch1 的各端口參數(shù) 其中， f0/1f0/5， gi1/1,gi1/2 都被配為中繼端口，端口 f0/10f0/12 被劃分給 VLAN 100。 為了實現(xiàn)冗余設計，分布層交換機 DistributeSwitch1 還通過自己的千兆端口 GigabitEther 1/2 連接另一臺到分布層交換機 DistributeSwitch2 的GigabitEther 1/2。 4． 配置分布層交換機 DistributeSwitch1 的端口基本參數(shù) 分布層交換機 DistributeSwitch1的端口 FastEther 0/1～ FastEther 13 0/5 連到接入層交換機 AccessSwitch15 的端口 FastEther 0/23，端口FastEther 0/10～ FastEther 0/12 為服務 器群提供接入服務 。 由于使用了 VTP 技術，所以所 有 VLAN 的定義只需要在 VTP 服務器，即分布層交換機 DistributeSwitch1 上進行。同一 VTP 域下的所有其他交換機也將自動激活 VTP 剪裁功能。當激活了 VTP 剪裁功能以后，交換機將自動剪裁本交換機沒有定義的 VLAN 數(shù)據(jù)。有時，交換網(wǎng)絡中某臺交換機的所有端口都屬于同一 VLAN 的成員，沒有必要接收其他 VLAN 的用戶數(shù)據(jù)。同時，還有責任發(fā)送和轉發(fā) VLAN 更新消息。將 VTP 管理域的域名定義為 “ cisco” 。每一個 VTP 管理域都有一個共同的 VTP 管理域域名。同時，將分布層 交換機DistributeSwitch1 設置成為 VTP 服務器，其他交換機設置成為 VTP 客戶機。從而大大減輕了網(wǎng)絡管理人員配置交換機負擔。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的 VLAN 定義傳播到整個網(wǎng)絡中需要此 VLAN 定義的所有交換機上。我們常采用 VLAN 中 繼協(xié)議（ Vlan Trunking Protocol， VTP）來解決這個問題。 2． 配置分布層交換機 DistributeSwitch1 的 VTP 當網(wǎng)絡中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。同時，還設置了默認網(wǎng)關的地址。這里，只給出實際的配置 。 分布層交換服務的實現(xiàn)－配置分布層交換機 分布層除了負責將接入層交換機進行匯集外，還為整個交換網(wǎng)絡提供 VLAN間的路由選擇功能。同時，分別通過自己的 FastEther 0/23 、FastEther 0/24 上連到分布層交換機 DistributeSwitch1 、DistributeSwitch2 的端口 FastEther 0/2。 設置接入層交換機 AccessSwitch1的端口 FastEther 0/2 FastEther 0/24 為主干道端口 ，即為配置這兩個端口的中繼。同時，接入層交換機AccessSwitch1 還 通 過 端 口 FastEther 0/24 上 連 到 分 布 層 交 換 機DistributeSwitch2 的端口 FastEther 0/1。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉發(fā)狀態(tài)，而不會經(jīng) 歷阻塞、偵聽、學習狀態(tài)（假設橋接表已經(jīng)建立） 。 對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。 （ 2） 設置快速端口 默認情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學習、轉發(fā)。 （ 1）設置接入層交換機 AccessSwitch1 的端口 1～ 22 如圖所示，設置接入層交換機 AccessSwitch1 的端口 1～端口 24 工作在接入模式。 9 Swi 為 switchport 的縮寫， mo 為 mode 的縮寫， acc 為 access 的縮寫。 5. 配置接入層交換機 AccessSwitch1 的接入端口 接入層交換機 AccessSwitch1 為終端用戶提供接入服務。 設置接入層交換機 AccessSwitch1 的所有端口 （ 124） 的速度均為 100Mbps。 4. 配置接入層 交換機 AccessSwitch1 端口基本參數(shù) ： 端口速度 可以設定某端口根據(jù)對端設備速度自動調整本端口速度，也可以強制將端口速度設為 10Mpbs 或 100Mbps。以后都將使用這些縮寫。 設置接入層交換機 AccessSwitch1 成為 VTP 客戶機。同時，將分布層交換機 DistributeSwitch1 設置成為 VTP 服務器，其他交換機設置成為VTP 客戶機。 給交換機設置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進行。但是，為了使網(wǎng)絡管理人員可以從遠程登錄到接入層交換機上進行管理，必要給接入層交換機設置一個管理用 IP 地址。 2. 配置接入層交換機 AccessSwitch1 的管理 IP、默認 網(wǎng)關 接入層交換 機是 OSI 參考模型的第 2 層設備，即數(shù)據(jù)鏈路層的設備?？梢越眠@個特性 （ 6）設置啟用消息同步特性 有時，用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。 （ 5）設置禁用 IP 地址解析特性 在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的 DNS 服務器并將其解析成對應的 IP 地址。在設置的時間內，如果沒有檢測到鍵盤輸入， IOS 將斷開用戶和交換機之間的連接。但是，處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡管理人員必須設置遠程登錄交換機的口令。 （ 3）設置登錄虛擬終端線時的口令 Line vty 0 15 Password cisco Login Login 對這個配置很重要，沒有他你就算配了密碼也無法登陸。 當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。 其中 h 是 hostname 的簡寫，（在真實環(huán)境中也支持簡寫）可以用該命令實現(xiàn)設備的重命名。一般我們會以地理位置或行政劃分來為交換機命名。交換機擁有 24 個 10/100Mbps自適應快速以太網(wǎng)端口，運行的是 Cisco 的 IOS 操作系統(tǒng)。 交換模塊設計 接入層交換服務的實現(xiàn)－配置 接入 層交換機 接入層為所有的終端用戶提供一個接入點。 網(wǎng)絡拓撲如下圖所示： 6 3 網(wǎng)絡詳細設計及配置 這里我將使用思科的一款虛擬 軟件（ cisco packet tracer）完成配置，該軟件功能有限，一些配置并不能在該軟件上實現(xiàn)。全網(wǎng)使用同一廠商設備的好處是可以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。該層設備有時被稱為大樓介入交換機，必